Вопрос или проблема
Мне нужно предоставить доступ для стороннего приложения (MailStore Server), чтобы оно могло получить доступ только к пользователям в группе MailStoreArchive. Я попробовал установить “Требуется назначение: да”, и я назначил группе MailStoreArchive это приложение, но я все еще вижу всех пользователей в приложении MailStore Server. Большинство руководств в Интернете показывают, как назначить конкретных пользователей приложению…
Проще говоря:
Боб находится в группе MailStoreArchive, поэтому MailStore Server может получить доступ к данным Боба,
Алиса не находится в группе MailStoreArchive, поэтому MailStore Server не может получить доступ к данным Алисы и не видит ее учетную запись в списке.
Я не контролирую это стороннее приложение и то, как оно настроено.
Ответ или решение
Для того чтобы ограничить доступ стороннего приложения, такого как MailStore Server, к данным пользователей, находящихся только в определенной группе (в вашем случае, группе MailStoreArchive), вам необходимо правильно настроить разрешения в Microsoft Entra ID (ранее известном как Azure Active Directory). Вот шаги, которые следует предпринять:
-
Настройка приложения в Entra ID: Убедитесь, что приложение MailStore Server зарегистрировано в Entra ID. Если оно не зарегистрировано, вам нужно его добавить, следуя инструкциям по созданию нового приложения в Entra ID.
-
Создание группы: Убедитесь, что группа MailStoreArchive создана в Entra ID и что только соответствующие пользователи, такие как Боб, состоят в ней. Вы можете проверить это в разделе "Группы" в Entra ID.
-
Настройка доступа к приложению:
- Перейдите в раздел "Службы и приложения" в вашем Entra ID и выберите MailStore Server.
- Убедитесь, что параметр "Требуется назначение" (Assignment Required) установлен в "Да".
- В разделе "Выбор пользователей и групп" назначьте только группу MailStoreArchive для доступа к MailStore Server. Это означает, что только пользователи, находящиеся в этой группе, будут иметь доступ к приложению.
-
Проверка ролей и разрешений: Проверьте, есть ли у MailStore Server требуемые роли и разрешения, чтобы ограничить доступ только к пользователям, состоящим в группе MailStoreArchive. Если приложение имеет возможность управлять доступом на уровне групп, это должно обеспечить требуемое ограничение.
-
Тестирование: Проверьте корректность настройки. Убедитесь, что у Боба есть доступ к приложению, и проверьте, видит ли он только свои данные, в то время как у Алисы отсутствует доступ к этому приложению, и она не должна видеть своих данных.
-
Аудит и отзывы: Регулярно проверяйте журналы доступа и активность пользователей в MailStore Server, чтобы убедиться, что доступ к данным предоставляется корректно. Это поможет выявить возможные нарушения правил доступа.
Если у вас все еще возникают проблемы с настройкой доступа после выполнения этих шагов, возможно, стоит связаться с технической поддержкой MailStore Server для получения дополнительной помощи по интеграции с Entra ID и уточнить, как именно они обрабатывают групповые ограничения доступа. Также вы можете обратиться к документации Microsoft для получения более детальной информации о настройках распределенного доступа и ролей.